> key words: SSL bump.

Еще key word: TLS Termination

Например HAProxy умеет такое.

https://www.haproxy.com/documentation/haproxy/deployment-gui.../

А вот то что нужно, смотрите параметры ssl_fc_* и req.ssl_*

https://cbonte.github.io/haproxy-dconv/1.9/configuration.htm...

Если даже богатый язык конфигурации HAProxy не позволит создать ACL-ы по параметру ssl_fc_cipherlist_str (очень сомневаюсь), то возможно это можно будет сделать используя LUA скрипт.

HAProxy LUA Scripting - https://www.arpalert.org/src/haproxy-lua-api/1.9dev/index.html

------

У Nginx, кстати, есть почти что подходящий модуль - ngx_stream_ssl_preread:

https://nginx.org/en/docs/stream/ngx_stream_ssl_preread_modu...

С его помощью можно "войти" внутрь TLS/SSL и взять такие параметры как версия протокола, SNI хост, и список шифров по ALPN! Но ALPN это сравнительно новое расширение TLS, старые браузеры не поддерживают. Если ваши клиенты пользуются обновленными браузерами/мобилами, то попробовть можно, думаю. Можно даже доработать модуль чуток, чтобы cipher_suites из client_hello клиента тоже извлечь.